一、WSockExpert简单介绍
         WSockExpert是一个抓包工具，它能够用来监视和截获指定进程网络数据的传输，对測试站点时非常实用。在黑客的手中，它经常被用来改动网络发送和接收数据，利用它能够协助完毕非常多网页脚本入侵工作。
        
WSockExpert的使用原理：当指定某个进程后，WSockExpert就会在后台自己主动监视记录该进程通过网络接收和传送的全部数据。在进行网页脚
本攻击时，我们经常会利用到用户验证漏洞、Cookie构造等手段，在使用这些入侵手段时，我们先用WSockExpert截获站点与本机的交换数据，然
后改动截获到的网络交换数据，将伪造的数据包再次提交发送给站点进行脚本入侵，从而完毕攻击的过程。
    二、WSockExpert的使用
         WSockExpert的使用很easy，软件执行后界面如图1所看到的：

点击工具栏上的“打开”button打开监视进程选择对话框（如图2）：

在当中找到须要监视的进程后，点击左边的加号button，展开后选择须要监视的进程就可以。以监视IE浏览器网络数据为例，
能够在打开的对话窗体中找到进程项目名“iexplorer.exe”并展开，在其下选择正在登录的网页名称，比如“搜狐通行证-搜狐 -
Microsoft Internet
Explorer”的进程。选择该进程后，点击对话框中的“Open”button，返回主界面開始对本机与“搜狐通行证”站点的数据交换进行监控。假设点击对话
框中的“Refresh”button的话，能够刷新列表中的进程项目名。
         在主界面的上部窗体中，将即时显示本地主机与远程站点进行的每一次数据交换（如图3）。

能够从“Status”中看到此次数据交换是发送或接
收的状态，并可在“PacketsHex”列中看到交换数据的十六进制代码；在“PacketsText”中显示的是十六进制代码转换过来的信息。从
“Address”列中能够查看到每次数据交换经过了多少次IP地址传递与转换，并可查看到远程主机的IP地址。
         点击窗体中的某次数据交换，在下方的窗体中能够看到具体的转换后的交换数据信息，相似：
GET /freemail/030814/c.gif HTTP/1.1  
Accept: */*  
Referer: http://passport.sohu.com/auth.jsp  
Accept-Language: zh-cn  
Accept-Encoding: gzip, deflate  
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)  
Host: images.sohu.com  
Connection: Keep-Alive  
Cookie: SUV=0410082157007081; IPLOC=CN52; SITESERVER=ID=a936e6b07d96bcc24d5b8b59e9cf435a”

在捕获到的信息中比較重要的数据项目有：“GET
……”，该项表示与站点交换信息的方式；“Referer：”，表示WSE捕获到的数据提交网页，这在查找一些隐藏的登录网页时较为实用；以及远程主机名
“Host”、连接方式“Connetcion”等，当中的“Cookie”在构造伪装数据时一般都要用到。
        
在这里，我们捕获到的是password传送步骤的交换信息，在诸如发贴、文件上传等操作时，还能够捕获到的一些重要的信息，如“Content-Type:
image/gif”代表了上传的文件类型，而“Content-Length:”表示Cookie的数据长度；还有文件上传后的保存路径等等，总之不论什么
重要的隐藏数据交换都逃不脱你的眼睛。  
    小提示：此外在工具栏上还有“Filter”过滤button，能够对接收和发送的数据信息进行过滤保存与清除，在此就不做具体介绍了。
三、WSockExpert使用实例
         上面的基础介绍可能有点乏味，新手们可能并不知道该怎样应用WSockExpert，以下就结合前段时间的上传漏洞，为大家介绍一个WSockExpert协助入侵的实例。
    1.上传漏洞的简单原理
         傻瓜化的上传工具大家用过不少了，可是对于上传漏洞的原理，或许不一定非常了解。正是因为缺乏对入侵原理的了解，所以大家在利用上传漏洞时经常不可以成功，因此先给大家简单的讲述一下入侵的原理。
         站点的上传漏洞是因为网页代码中的文件上传路径变量过滤不严造成的，在很多论坛的用户发帖页面中存在这种上传Form（如图4），其网页编程代码为：
<form action="user_upfile.asp" ...>  
       <input type="hidden" name="filepath" value="UploadFile">  
       <input type="file" name="file">  
       <input type="submit" name="Submit" value="上传" class="login_btn">  
</form>”

在当中“filepath”是文件上传路径变量，因为
网页编写者未对该变量进行不论什么过滤，因此用户能够随意改动该变量值。在网页编程语言中有一个特别的截止符"/0"，该符号的作用是通知网页server中止后面
的数据接收。利用该截止符可们能够又一次构造filepath，比如正常的上传路径是：
http://www.***.com/bbs/uploadface/200409240824.jpg

可是当我们使用“/0”构造filepath为

http://www.***.com/newmm.asp/0/200409240824.jpg

这样当server接收filepath数据时，检測到newmm.asp后面的/0后理解为filepath的数据就结束了，这样我们上传的文件就被保存成了：

http://www.***.com/newmm.asp

小提示：可能有人会想了，假设网页server在检測验证上传文件的格式时，碰到“/0”就截止，那么不就出现文件上传类型不符的错误了吗？事实上在检測验证上传文件的格式时，系统是从filepath的右边向左边读取数据的，因此它首先检測到的是“.jpg”，当然就不会报错了。
         利用这个上传漏洞就能够随意上传如.ASP的网页木马，然后连接上传的网页就可以控制该站点系统啦。
2.WSE与NC结合，攻破DvSP2
        
很多站点都存在着上传漏洞，如动网、天意商务网、飞龙文章系统、惊云下载等，因为上传漏洞的危害严重，所以各种站点都纷纷採取了保护措施。可是因为网页编
程人员在安全知识方面的缺乏，因此非常多站点都仅仅是简单的在代码中加了几个“hidden”变量进行保护。这一招对桂林老兵之类的漏洞利用工具是实用的，也
是非常多新手利用上传漏洞不成功的原理。只是在WSockExpert的面前，它们就无能为力了。在这里以入侵“DvSP2云林全插件美化版”站点为例介绍
一个入侵的全过程：
         （1）在Google或百度中输入关键词“Copyright
xdong.Net”进行搜索，将会得到大量使用“DvSP2云林全插件美化版”建立的站点。这里我挑选了“http://ep***.com/dl
/viovi/20050709/bbs/index.asp”作为攻击目标。
         注冊并登录论坛，选择发帖，然后在文件上传路径中浏览选择我们要上传的ASP网页木马（如图5）。

（2）打开WSockExpert開始监视与此网页进行的数据交换，回到网页中点击“上传”button，将会报错提示文件
类型不符。不用管它，回到WSockExpert中找到“ID”为3和4的这两行数据，将它们复制并粘贴到一个新建的TXT文本文件里。打开此文本文件，
在当中找到“filename="D:/冰狐浪子微型ASP后门/asp.asp"”，改为“filename="D:/冰狐浪子微型ASP后门
/asp.asp .jpg"”（如图6）。

小提示：注意在“.jpg”前有一个半角空格在，因为添加了“ .jpg”5个字符，所以要将Cookie的长度“Content-Length: 678”改为“Content-Length: 683”。然后保存此文件为“test.txt”。
         （3）用UltraEdit32打开刚才保存的“test.txt”文件，打到“filename="D:/冰狐浪子微型ASP后门/asp.asp .jpg"”，把空格相应的十六进制代码20改为00。然后再次保存文本（如图7）。

（4）打开命令窗体，在当中输入“nc epu***.com
80<test.txt”，非常快提示提交成功，并显示文件上传后的路径为“http://ep***.com/dl/viovi/20050709
/bbs/asp.asp”。打开冰狐浪子client，输入网页木马链接地址后就可以对站点进行控制了（如图8）。

提醒大家的是，这样的入侵方式对付很多存在上传漏洞的站点都是很有效的，如文中提到的多

最后要提醒大家的是，这样的入侵方式对付很多存在上传漏洞的站点都是非常有效的，如文中提到的多种站点系统。其利用原理都是同样的，方法大同小异而已。而WSockExpert的使用方法也不仅止于上传漏洞入侵，在非常多场合都是我们入侵分析的好帮手

WSockExpert[抓包工具]的更多相关文章

1. Jmeter实现登录bugfree、新建bug、解决bug脚本（抓包工具实现）

   环境 Chrome jmeter3.1 fiddler4 win7 32位 Linux CentOs6.4 bugfree3.0.1 链接:http://pan.baidu.com/s/1gfHpbp ...

2. 抓包工具Wireshark过滤器

   抓包工具WireShark分为两种过滤器: 捕捉过滤器(CaptureFilters) 显示过滤器(DisplayFilters) 捕捉过虑器语法: Protocol  Direction  Host ...

3. 跨平台网络抓包工具-Microsoft Message Analyzer

   Microsoft Message Analyzer (MMA 2013)是微软最受欢迎的Netmon的最新版本. 在Netmon网络跟踪和排除故障功能的基础上提供了更强大的跨平台网络分析追踪能力.园 ...

4. Microsoft Message Analyzer （微软消息分析器，&ldquo&semi;网络抓包工具 - Network Monitor&rdquo&semi;的替代品）官方正式版现已发布

   来自官方日志的喜悦 被誉为全新开始的消息分析器时代,由MMA为您开启,博客原文写的很激动,大家可以点击这里浏览:http://blogs.technet.com/b/messageanalyzer/a ...

5. 网络抓包工具-Wireshark学习资料

   wireshark一个非常牛逼的网络抓包工具.转载一系列博文 一站式学习Wireshark(一):Wireshark基本用法 一站式学习Wireshark(二):应用Wireshark观察基本网络协议 ...

6. Fiddler 抓包工具总结

   阅读目录 1. Fiddler 抓包简介 1). 字段说明 2). Statistics 请求的性能数据分析 3). Inspectors 查看数据内容 4). AutoResponder 允许拦截制 ...

7. Wireshark抓包工具

   首先下载并安装Wireshark软件,最好选择中文版,因为会使你用的更顺手. 安装完毕之后,双击打开Wireshark软件,主界面还是比较清晰明了的,可是怎么用还是稀里糊涂的吧. 点击菜单栏红圈中的选 ...

8. 抓包工具fiddler

   具体的可以看这个链接,后来补充了些东西,cnblog复制图片太麻烦了 http://note.youdao.com/yws/public/redirect/share?id=37f8556270b44 ...

9. charles抓包工具的中文乱码解决方法

   charles是 MAC上最好用的抓包工具.charles 网上的参考文档已经很多,我就不再赘述啦.只是说说我在安装过程遇到的问题和解决方法,仅供参考. charles抓包的数据中的中文内容显示乱码, ...

随机推荐

1. Nuke

   - Debugging python code IN nuke with Eclipse - Documents: http://www.thefoundry.co.uk/products/nuke- ...

2. CodeForces 698A Vacations

   题目链接 : http://codeforces.com/problemset/problem/698/A 题目大意: 阿Q有n天假期,假期中有三种安排 休息.健身.比赛.每天有三种选择条件: 0 健 ...

3. &lbrack;微软&rsqb;technet与msdn

   我们搜索一个微软术语,有时定位到technet页面,有时定位到msdn页面.我直观的理解就是technet教人们如何使用微软产品,而msdn指导人们如何开发基于微软产品的软件.那么微软对它们具体定位是 ...

4. jira汉化，破解，升级

   交给我这个任务,我先在网络上查了,好些资料,先实验的是6.3.6版本的,这个安装包我是从csdn上下载的.tar.gz的安装,汉化过程也都没有问题.但是在运行过程中不显示下拉菜单,于是我又在官网下载的 ...

5. C语言程序设计做题笔记之C语言基础知识（上）

   C语言是一种功能强大.简洁的计算机语言,通过它可以编写程序,指挥计算机完成指定的任务.我们可以利用C语言创建程序(即一组指令),并让计算机依指令行事.并且C是相当灵活的,用于执行计算机程序能完成的几乎 ...

6. &lbrack;ext4&rsqb;磁盘布局 - group分析

   ext4文件系统的磁盘布局是先把磁盘分成一个个相同大小的block块(每个block块的大小默认是4K),然后把这些block块合成一个个group. group大小最大为256M(默认为256M), ...

7. 边框回归（bounding-Box regression）

   转自:https://blog.csdn.net/zijin0802034/article/details/77685438 为什么要边框回归? 什么是边框回归? 边框回归怎么做的? 边框回归为什么宽 ...

8. shell脚本定义输出字符颜色

   #-------------------定义输入颜色---------------------# RED='\033[1;31m' GREEN='\033[1;32m' YELLOW='\033[1; ...

9. e1000e 网卡如遇到大包未线速问题解法

   e1000e 网卡如遇到大包(>1280)未线速,把'DEFAULT_ITR'改为0, 不设中断频率上限试试 see@intel/e1000e/param.c/* Interrupt Throt ...

10. VC&plus;&plus;编写简单串口上位机程序

    VC++编写简单串口上位机程序   转载: http://blog.sina.com.cn/s/articlelist_1809084904_0_1.html VC++编写简单串口上位机程序 串口通信 ...